RSS

Paweł Goleń, blog

Zrzędzenie starego zgreda

Tuesday, August 19. 2008

a href=javascript jest... no niespodzianka - ZŁE!

W aplikacjach sieciowych często zamiast "czystych" linków, wykorzystywany jest JavaScript. Po kliknięciu na obiekt (link, obrazek, paragraf), wykonuje się pewna akcja, na przykład otwiera się nowa strona w nowym oknie przeglądarki. Czasami adres tej nowej strony budowany jest na podstawie parametrów przesłanych przez użytkownika. Jeśli wartość wstawiana jest "wprost", jest oczywiście XSS. Zamiast tego znaki specjalne powinny być kodowane z wykorzystaniem URL Encoding. Tylko jest jedna, mała niespodzianka.

Ciąg dalszy "a href=javascript jest... no niespodzianka - ZŁE!" »

Monday, August 18. 2008

Co się z tobą stanie, gdy ci ufać przestanę?

Tytuł tego wpisu to zapożyczenie z piosenki KNŻ, dobrze on ilustruje to, o czym chcę tym razem napisać. No właśnie? Co się stanie (a przynajmniej powinno się stać) w przypadku, gdy będzie miał miejsce "incydent", czyli mówiąc wprost - gdy ktoś się włamie? Niestety, nadal często stosowane jest podejście na zasadzie "posprzątać i udawać, że nic się nie stało". Problem w tym, że tak naprawdę to jest błędne koło - skoro ktoś się włamał, to musi istnieć podatność, która na to pozwala. Usunięcie skutków ataku nie usuwa podatności, a więc atak może się powtórzyć...

Ciąg dalszy "Co się z tobą stanie, gdy ci ufać przestanę?" »

Sunday, August 17. 2008

Długie weekendy są (nadal) ZŁE!

Skusiliśmy się z Moją Ulubioną Czarownicą na wyjazd w trakcie tego długiego weekendu. Wyjazd (w sensie jazdy) rzeczywiście był długi, choć na szczęście znajomość objazdów i GPS swoje zrobiło. Natomiast ilość buractwa (bo ciężko to inaczej określić) na drodze jest przerażająca. Naprawdę aż dziw, że w trakcie długich weekendów ginie tak mało ludzi. Szkoda tylko, że często giną niewinni, którzy mieli pecha spotkać takiego buraka na drodze...

Thursday, August 14. 2008

Wszystko mi oklapło: Systemy e-banków do wymiany

Chyba założę oddzielną kategorię na prasowe bzdury. Tym razem mrożący krew w żyłach tekst Systemy e-banków do wymiany, który jest naturalną konsekwencją wcześniejszego tekstu odnośnie problemu w BZ WBK. W nowym tekście dowiadujemy się między innymi, że:

Zdaniem Tomasza Jarmuła, specjalisty bezpieczeństwa RSA Securities, zbudowanie systemu dla bankowości elektronicznej, który nie będzie zapamiętywał kodowanych stron zawierających dane osobowe użytkownika jest bardzo kosztowne. Szacunkowy koszt takiego systemu to 5 - 15 mln zł.

Mam nadzieję, że:

  • autorka artykułu nie zrozumiała problemu w BZ WBK i zadała "radosne" pytanie,
  • odpowiadający nie do końca zrozumiał o co jest pytany,
  • autorka artykułu nie zrozumiała odpowiedzi i przekręciła cytat,

A jeśli tak nie jest to... Mając na uwadze, że problem w BZ WBK wynikał z radosnej obsługi no-cache przez przeglądarki Firefox i Opera (w IE problemu NIE było), podana cena jest co najmniej dziwna. No chyba, że chodzi o wykupienie firm produkujących te przeglądarki i wypuszczenie poprawionej wersji...

« poprzednia strona   (Strona 209 z 286, łącznie 1428 wpisów) następna strona »

O mnie

View Pawel Golen's profile on LinkedIn